6
Routing und Ras in einer W2k8 Domäne
Hi zusammen,
ich möchte in einer Windows 2008 R2 Domäne einen Routing und Ras-Server einrichten, damit Außenstellen über VPN sich in das Netz einwählen können. Hierzu habe ich erstmals eine Testumgebung erstellt.
Testumgebung ohne Domäne, also zwei Arbeitsgruppennetzwerke funktioniert meine VPN-Verbindung mittels RRAS-Server wunderbar.
Testumgebung mit Domäne und gleichen RRAS-Einstellungen bekomme ich keine Verbindung. Screenshot "RRAS Konfig" zeigt meine Konfiguration des RRAS-Servers.
Screenshot "Meldung Außenstelle" zeigt die Fehlermeldung des Clients, inklusive dessen VPN-Einstellung.
GPOs sind noch keine definiert.
Was mache ich hier falsch?
ich möchte in einer Windows 2008 R2 Domäne einen Routing und Ras-Server einrichten, damit Außenstellen über VPN sich in das Netz einwählen können. Hierzu habe ich erstmals eine Testumgebung erstellt.
Testumgebung ohne Domäne, also zwei Arbeitsgruppennetzwerke funktioniert meine VPN-Verbindung mittels RRAS-Server wunderbar.
Testumgebung mit Domäne und gleichen RRAS-Einstellungen bekomme ich keine Verbindung. Screenshot "RRAS Konfig" zeigt meine Konfiguration des RRAS-Servers.
Screenshot "Meldung Außenstelle" zeigt die Fehlermeldung des Clients, inklusive dessen VPN-Einstellung.
GPOs sind noch keine definiert.
Was mache ich hier falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179323
Url: https://administrator.de/contentid/179323
Printed on: April 23, 2024 at 06:04 o'clock
6 Comments
Latest comment
hallo gnoovy!
wenn du routing und ras einrichten willst solltest du den server auch als router aktivieren. "lan und bei bedarf wählendes routing" ist glaube ich nötig. ist zumindest bei einem meiner server so aktiviert und da geht vpn.
gruss vom buc
wenn du routing und ras einrichten willst solltest du den server auch als router aktivieren. "lan und bei bedarf wählendes routing" ist glaube ich nötig. ist zumindest bei einem meiner server so aktiviert und da geht vpn.
gruss vom buc
habe ich aktiviert, aber immer noch dasselbe Problem. Ich meine wenn es in der Arbeitsgruppen-Testumgebung ging muss das ja irgendwie mit der Domäne zu tun haben oder? Außer den Standard-Gruppenrichtlinien, also Default Domain Policy, etc. habe ich noch nichts aktiv. Und in denen hab ich jetzt nichts besonderes erkennen können. Muss ich im Windows-AD-Konto, welches ich an der Außenstelle zur Verbindung nutzen möchte, noch irgendwas einstellen? Habe dort im Bereich Einwählen auf Zugriff erlauben gestellt. Mehr wüßte ich jetzt da nicht.
interessant. Ich habe es jetzt hinbekommen. Der große Unterschied zur Domäne und Arbeitsgruppe scheint das EAP-Protokoll zu sein. Nur wenn dieses aktiviert ist funktioniert eine erfolgreiche Verbindung. Habe jetzt noch die Sicherheitseinstellungen konfiguriert wie ipsec, nur l2tp-verbindungen, nps-richtlinien und so weiter und geht ganz gut.
Aber wieso geht das hier nur mit EAP? Liegt das an meinem Windows7 SP1 Testclient?
Aber wieso geht das hier nur mit EAP? Liegt das an meinem Windows7 SP1 Testclient?
hi zusammen,
eine zusätzlche Frage hab ich noch. Jetzt würde ich gerne im Anschluss meine VPN-Verbindung mit Zertifikaten absichern. Hierfü habe ich in meiner Testumgebung eine CA erstellt. Dadurch habe ich die Zertifikatvorlage IPSec eingerichtet und auf dem Rasserver im persönlichen Bereich der Computerzertifikate eingerichtet. Dieses Zertifikat und das Zertifikat der Stammzertifizierungsstelle, welche beim Rasserver unter "Vertrauenswürdige Stammzertifizierungsstellen" eingerichtet ist habe ich vom Rasserver exportiert und am Client der Außenstelle importiert. Leider bekomme ich beim Verbindungsaufbau dann den Fehler 810. Also das etwas mit den Zertifikaten nicht stimm.
Was mache ich denn da noch falsch?
eine zusätzlche Frage hab ich noch. Jetzt würde ich gerne im Anschluss meine VPN-Verbindung mit Zertifikaten absichern. Hierfü habe ich in meiner Testumgebung eine CA erstellt. Dadurch habe ich die Zertifikatvorlage IPSec eingerichtet und auf dem Rasserver im persönlichen Bereich der Computerzertifikate eingerichtet. Dieses Zertifikat und das Zertifikat der Stammzertifizierungsstelle, welche beim Rasserver unter "Vertrauenswürdige Stammzertifizierungsstellen" eingerichtet ist habe ich vom Rasserver exportiert und am Client der Außenstelle importiert. Leider bekomme ich beim Verbindungsaufbau dann den Fehler 810. Also das etwas mit den Zertifikaten nicht stimm.
Was mache ich denn da noch falsch?
da kann ich dir leider nicht weiterhelfen, meine laufen ohne eap und zertifikate. halte ich mit guten kennwörtern für sicher genug.
trotzdem danke fürs posten deiner lösung.
hier gibts ne recht ausführliche anleitung.
http://www.gruppenrichtlinien.de/index.html?/howto/VPN_Remote_Einwahl.h ...
viel erfolg,
der buc
trotzdem danke fürs posten deiner lösung.
hier gibts ne recht ausführliche anleitung.
http://www.gruppenrichtlinien.de/index.html?/howto/VPN_Remote_Einwahl.h ...
viel erfolg,
der buc
hi the-buccaneer,
habe auch eine Absicherung mit Zertifikaten hinbekommen. Wichtig ist, dass eine Enterprise CA genommen wird damit auch private Schlüssel eines Zertifikats exportiert werden können. Somit die Zertifikatsvorlage ipsec nehmen, duplizieren, privaten Schlüssel exportierbar in der Vorlage machen und zusätzlich die Anforderung clientauthentifizierung einschalten. Das Zertifikat auf dem Rasserver in eigene Zertifikate - Computer anfordern und registrieren. Dort das Zertifikat mit privatem Schlüssel exportieren und der Außenstelle unter eigene Zertifikate im Computerbereich einspielen.
In der VPN-Verbindung der Außenstelle auf Zertifikate umstellen. Zusätzlich muss das Stammzertifikat der CA unter Vertrauenswürde Stammzertifizierungsstellen im Computer-Bereich der Zertifikate der Außenstelle noch eingerichtet werden. Dann funktioniert die Verbindung.
Falls hier jemand noch was unschlüssiges erkenn sollte gerne posten
habe auch eine Absicherung mit Zertifikaten hinbekommen. Wichtig ist, dass eine Enterprise CA genommen wird damit auch private Schlüssel eines Zertifikats exportiert werden können. Somit die Zertifikatsvorlage ipsec nehmen, duplizieren, privaten Schlüssel exportierbar in der Vorlage machen und zusätzlich die Anforderung clientauthentifizierung einschalten. Das Zertifikat auf dem Rasserver in eigene Zertifikate - Computer anfordern und registrieren. Dort das Zertifikat mit privatem Schlüssel exportieren und der Außenstelle unter eigene Zertifikate im Computerbereich einspielen.
In der VPN-Verbindung der Außenstelle auf Zertifikate umstellen. Zusätzlich muss das Stammzertifikat der CA unter Vertrauenswürde Stammzertifizierungsstellen im Computer-Bereich der Zertifikate der Außenstelle noch eingerichtet werden. Dann funktioniert die Verbindung.
Falls hier jemand noch was unschlüssiges erkenn sollte gerne posten
